Comparatif cartes mères 790i Ultra SLI : un chipset NVIDIA qui vaut le détour ?
NVIDIA propose désormais un très bon chipset haut de gamme pour plateforme Intel, le seul à permettre le SLI. Mais de toutes les cartes mères disponibles, laquelle est la plus adaptée à vos besoins ? Lire la suite
- Un comparatif entre GeForce 6800 GT/Ultra/5950 Ultra
- Musique en ligne : Harmony créé la polémique
- Intel repousse la sortie du Pentium 4 à 4GHz
- Un nouvel outil pour Microsoft Office
- Nouvelle version du Framework Metasploit
- Manhunt retiré de la vente
- Trop vieux pour Google ?
- Yahoo ! Mail donne 1 Gb aux chinois
- Radeon 9250
- Top 10 des virus pour le 1er semestre 2004
Une faille de sécurité pour Mozilla découverte
La faille est d'autant plus importante qu'aucune solution ne semble possible : c'est en fait XUL, le langage de conception de l'interface, qui pose problème. Effectivement il suffit de créer un programme codé en XUL qui créé ce que l'on pense être une fenêtre de navigateur pour pouvoir piéger l'internaute. Pire, il est possible avec cette méthode de créer de faux certificats de sécurité. Si vous surfez sur Firefox 0.9, vous pouvez voir une démonstration de cette faille à cette adresse. Pour les autres, vous trouverez des captures d'écran sur cette page.
Réagissez ! Retour à la liste des news
- 1 / 4
- Suivante
-
Pour voir si on est sur un bon site il faut tester les menus pour voir s'il réagissent
Ca fait combien de temps que cette faille est exploitables ?
)
Au temps pour moi il s'agit d'une nouvelle
| thestonemarten a écrit : ca fait lgtps qu'elle est connue la faille nan? ou alors yavait la même sous IE? |
non sous IE un site pouvait "spoofer" l'url affichée dans la bare de navigation ce qui pouvais te faire penser que tu es sur un site alors que tu es sur un autre.
par contre je ne sais pas si la faille allais jusqu'a pouvoir falsifier les certif de securités etc etc..
bref une faille a corriger rapidement
| Baster a écrit : RoMiX> bah avec un ActiveX ca devait bien etre possible aussi, non ? |
te dire ce qu'il est possible de faire ou non avec un activx depasse mes connaissances désolé, par contre il me semble qu'IE demande ta permission avant d'executer un activx alors que mozz/fire ne demande rien avant d'executer un XUL.
XML Parsing Error: undefined entity
Location: http://www.nd.edu/~jsmith30/xul/test/browser2.xul
Line Number 20, Column 1:
edit: ha ouais c'est prévu que pour Firefox, j'avais pas lu assez attentivement
![[:astenoramix]](http://img.infos-du-net.com/forum/images/perso/astenoramix.gif "[:astenoramix]")
| RoMiX a écrit : non sous IE un site pouvait "spoofer" l'url affichée dans la bare de navigation ce qui pouvais te faire penser que tu es sur un site alors que tu es sur un autre. |
ouaip ca devait etre ca, juste au niveau de l'affichage de l'url
| revlis a écrit : la faille viens du XUL qui n'es pas inteprété par IE... c'est comme si on disait "un nouveau vius en VB viens de sortir exploitant une faille de Windows" et que tu demande si y'a la meme faille sur Linux.... |
oui mais on peut tomber en panne sèche, qu'on carbure au gasoil ou au super
javais déjà vu cette faille kkpart, ct un truc ressemblant et effectivement sous IE, comme vient de me le rappeler romix ^^
MS a mis plusieurs mois pour corriger une faille similaire (spoofing par la simple url).
Opera a mis moins d'une semaine pour corriger 2 failles similaire (spoofing par JS) et une 3ème a été détectée il y a 3 jours (technique JS toujours).
Mozilla Firefox connait cette faille depuis le 25/07.
On verra si ces derniers mettent un délais raisonnable pour corriger ces bugs.
exemple en image...
sur ma barre à moi, l'edit box de google est remplacée par un bouton permettant d'ouvrir la fenetre des telechargements...
de plus, les favoris n'apparaissent pas
suffit d'etre un pe attentif a son interface quand on rentre des données confidentiels
| Philippe R a écrit : Si Internet Explorer est connu pour ses failles de sécurité, il n'en détient pas le monopole : ainsi une faille de sécurité assez grave a été découverte sur les logiciels Mozilla, dont le célèbre Firefox : un individu peut ainsi créer une fausse page web affichant une adresse dans la barre d'url qui ne correspond pas à celle du site visité. Cela pourrait donc être utilisé à des fins frauduleuses afin de soustraire des numéros de CB, en simulant le site d'un marchand en ligne bien connu, ou plus simplement le site de votre banque.  La faille est d'autant plus importante qu'aucune solution ne semble possible : c'est en fait XUL, le langage de conception de l'interface, qui pose problème. Effectivement il suffit de créer un programme codé en XUL qui créé ce que l'on pense être une fenêtre de navigateur pour pouvoir piéger l'internaute. Pire, il est possible avec cette méthode de créer de faux certificats de sécurité. Si vous surfez sur Firefox 0.9, vous pouvez voir une démonstration de cette faille à cette adresse. Pour les autres, vous trouverez des captures d'écran sur cette page. |
Avec Mozilla 1.7 version "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.7) Gecko/20040616" (patché pour le dernier bug), ce "bug" est totalement inactif. Cela ne fait que confirmer la piètre opinion que j'ai de Firefox face à son grand frère ...
par contre je ne sais pas si la faille allais jusqu'a pouvoir falsifier les certif de securités etc etc..
[/citation]
Il est totalement impossible de falisifier ça. Pour contre, le truc affiche l'icone disant que tu es en connection sécurisé.
C'est juste une fausse interface qui imite celle de firefox (ou mozilla ou n'importe quelle appli utilisant du XUL).
quand on doit effectuer une opération sensible (entrée ses coordonnées, sont numéro de carte de crédit...), il doit toujours y avoir le petit cadena, sinon, ça veut dire que le site n'est pas fiable.
edit : moi je n'ai pas l cadena, mais il semblerait qu'il s'affiche chez certains.
| quezako a écrit : Mouais, cette "faille" est surtout basée sur la naïveté dens utilisateurs. |
D'ou le prob si on peut afficher un cadenas alors que c est pas en https.
- lien javascript
- la fenêtre ne peut pas être maximisée car c'est un popup
cela ne marche pas si :
- TBE est installé
- cacher les barres avec javascript est désactivé
- si la barre est personalisée
- si votre FF est une version inférieure à 0.9
Ca fait quand même beaucoup de conditions pour que la faille fonctionne !
| quezako a écrit : Il y a quand même plusieurs petites choses qui mettent la pucs à l'oreille : |
Je vois rarement de telles analyses pour une faille IE.
En général, le commentaire c'est : "Lâchez cette m**** pleine de failles et passez à Mozilla/FireFox"
2 poids, 2 mesures...
- 1 / 4
- Suivante
-
Est-il, malgré tout, permis de "sourire" ??